CVE-2026-55879 in OpenReplay
Resumen
por VulDB • 2026-07-10
OpenReplay es una suite de reproducción de sesiones autoalojada. Desde la versión 1.24.0 hasta antes de la 1.25.0, el SDK de seguimiento de OpenReplay acepta nombres de eventos personalizados y URLs de páginas capturadas procedentes de cualquier visitante que utilice una clave de proyecto pública, los almacena en ClickHouse sin codificación de salida (output encoding) y posteriormente los renderiza en el panel de control autenticado a través del componente TextEllipsis y la ventana modal de detalles del evento. Esto permite que un atacante no autenticado inyecte scripts que se ejecutan bajo el origen del panel, lean el JWT de sesión desde localStorage y tomen el control de una cuenta del panel. Este problema está corregido en la versión 1.25.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.